十大措施构建高校网络安全防护体系
高校面临的网络与信息安全挑战
高校的环境就是一个典型的小社会模式,所以面临的网络与信息化问题和挑战也要比企业复杂得多。
一是面临技术的挑战。在网络与信息安全的攻防对抗中,技术是关键因素,技术力量的强弱在很大程度上决定了胜负。而网络与信息安全又是一个多范畴的学科,涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等方方面面,很难做到由一个人完全驾驭,因此给网络安全工作提出了非常大的挑战。
二是面临防范策略的挑战。在网络与信息安全的防范中,攻方占有主动权,具有主导优势。攻方可以决定在什么时候、用什么技术、从什么地方、对什么目标、动用多少资源发起攻击,因此他们具有对抗中的主动性,而防守一方则只有做好全方位的防御才有可能抵御这样一场网络战争,所以说是极具挑战性。
三是面临设备或软件方面的挑战。由于高校业务的复杂性,决定了高校的信息化产品是多元化和具有异构特征的,其硬件设施和软件产品一定是由多品牌、多型号和不同架构组成的,因此需要防护的范围不仅仅是网络安全,还要防范异构产品自身漏洞、缺陷带来的风险,可以说是一个泛在的安全防护。同时,由于软硬件产品对用户是不透明的,所以存在问题用户也不得而知,因此带来了很大的不确定性。
四是面临管理的挑战。因高校的业务复杂,构成其业务支撑的信息化系统也多为各业务单位自行防护,这样就构成了二级甚至是三级的网络与信息安全防护责任体系,所以在管理上要充分协调才能够步调一致、水平一致。但由于信息化部门的性质和地位决定了其辅助和服务性质,要想充分发挥管理职能还会面临巨大的挑战。
五是面临人员挑战。由于高校从事信息化的专业人才短缺,加上二级和三级单位的信息化人员一般是兼职和非专业人员,因此在管理和技术沟通上都存在一定困难。同时,由于人员一般非安全专业人才,所以在能力上也存在着巨大的差距和挑战。
高校网络与信息安全问题及原因
虽然高校是人才培养的摇篮,但由于高等教育信息化在近几年才得到迅猛发展,因此网络与信息安全工作也处于起步阶段,总体形势不容乐观。教育行业面临着日益增长的网络安全威胁和信息安全挑战,形势严峻。其主要问题表现为以下几个方面:
一是管理机构缺失。在2017年《网络安全法》出台之前,很多高校没有专门机构负责网络与信息安全,之后情况有极大改善,但很多高校只是设立了部门,其职能和监管工作开展还不到位。
二是专业人才缺失。在全社会都缺少网络与信息安全专业人才的的背景下,高校也面临着缺少安全专业人才的问题。很多高校的技术人才非常少,尤其是能将管理、技术和安全紧密结合并充分利用的人才则更紧缺。
三是管理不到位。很多高校还停留在基础网络与信息安全工作的硬件防护层面,没有意识到网络与信息安全是一个系统性的安全防护体系,需要从管理、技术等多方面开展工作,所以很多管理工作开展不到位甚至是没有开展。
四是防护不到位。在国家出台《网络安全法》以后,很多高校虽然加强了防护手段和硬件投入,按照等级保护的要求做了必要的防护,但在这场矛与盾的斗争中只有不断加强力度和手段,才能应对技术的日益发展和安全的不断需求,需要不断投入和持续建设。但很多高校存在安于现状或局限于技术及资金等原因而止步不前的现象。
造成目前高校普遍存在的网络与信息安全问题及原因可以归纳为以下几个方面:一是单位重视不够。各单位都是先完成本职工作,在有精力的情况下才去抓网络与信息安全工作;二是管理体系不健全。有些单位没有设置网络与信息安全工作岗位,没有设专人管理,没有完全落实职责;三是人力投入不足。各单位从事网络安全的人力资源不足,即便安排了人员也普遍存在技术防护能力偏弱的情况;四是人员能力不足。各单位基本都是工作人员兼职管理网络及信息安全工作,专业技术能力不足;五是防护经费投入不足。各高校普遍存在经费投入不足现象,尤其是人员技防经费投入严重不足;六是安全意识薄弱及日常运维缺失。普遍存在安全保护意识差、弱口令、日常维护缺失等问题,导致安全漏洞比比皆是。
系统性网络安全防护体系初探
从上面的分析可以看出,当前高校网络与信息安全的问题,不仅是技术问题和资金问题,也是管理问题,更是一个复杂的系统工程。这种特性决定了我们不能采取单一的硬件防护措施或者单一的购买外包服务来加以防范,而是必须整体联动、技术与管理相结合。
笔者认为,网络与信息安全应该至少包含设备防护、安全管理、安全策略、安全检查和应急处置等五个方面。按照木桶理论原理,决定网络与信息安全状况的不是最强的能力,而是那个最弱的能力,如果我们有一个方面开展不到位,则势必会被具有高智商的不法分子所利用,从而导致“千里大堤毁于蚁穴”的惨剧发生。那么怎么建设一套符合高校实际需求的安全架构体系,更加均衡地进行合理投入,不让不法分子从最短板入手制造出安全事件呢?这需要从五个层面、十项措施入手,为不法分子布下一个层层设防的“十面埋伏”,从而系统性地构建一个网络与信息安全防护体系。
01
构成网络与信息安全的五个层面
网络与信息安全是一个系统性的工作,需要建设一个立体的防护体系,应从以下五个层面做好工作:
一是设备防护。这是开展网络与信息安全的基础。利用各种现代化的网络与信息安全防护设备对各种信息化活动进行甄别与防范,可以有效地处理绝大多数非法攻击,必须按照国家等级保护的要求做好各项设备防护工作。
二是安全管理。这是开展网络与信息安全的保障。只有建立了立体有效的网络与信息安全管理体系,将职责明确划分、将责任落实到位、将奖惩清晰告知,从而充分落实各项安全工作,确保安全管理稳步开展。
三是安全策略。所有的设备防护和安全管理都是基于一定策略的,策略过紧则防范工作量剧增且不利于正常开展信息化工作,策略过松则相当于不设防,起不到相应的作用,因此根据各单位具体情况制定相应的策略是安全工作的重要环节之一。
四是安全检查。在安全管理中含有安全检查一部分内容,多为自查。但安全检查不仅仅局限于自查,也不局限于单一的手段,应该是从管理、渗透、测试等多方面开展,目的是及时发现存在的问题并加以弥补。
五是应急处置。网络与信息安全工作是攻与防的对抗,是矛与盾的竞争,在这场技术竞赛中会随着不断进步产生新的方法,因此也就可能导致安全事件的发生,所以必须做好应急处置预案并熟练演练,一旦发生安全事件则采取相应应急处置,将危害降到最小范围。
02
构建系统性网络安全防护体系的十大措施
为了做到这五个方面,构建系统性网络安全防护体系,我们提出通过采取十大措施推动该项工作,具体措施为:转观念、立规矩、变可视、建防护、定策略、做检查、促整改、找帮手、推等保、报预警。
一是转观念。这是一个非常重要而且过程漫长的工作,主要包括变被动为主动、推动两个意识转变和划清安全工作边界。变被动为主动是一种工作意识的转变,从不得不根据信息技术的发展被迫地进行防护到主动开展防控,积极开展安全检查和防护;在两个意识转变中,其一是网络与信息系统与硬件产品一样,它是有生命周期的,需要随着需求和技术的不断发展而更新,必要的时候甚至要根据安全的要求进行必要的更新换代。其二是网络与信息系统和汽车产品一样,需要运维并经常地进行系统维护,进行必要的备份、漏洞修复、软件升级等,这样才能保障信息系统能长期安全有效的运行;划清安全工作的边界就是杜绝推诿扯皮。一般来说信息部门就像学校的保卫队,保护的是学校的大门,要做好外围的防护。各个单位相当于围墙之内的各家各户,他们有自己的户型、结构和私有的钥匙,所以只有各单位才能做好内部防护。为了落实各单位履行安全管理职责,需要给他们配套相应的经费,促使管理员监管信息系统建设单位或者专业的安全运维公司进行防护,从而将自己的责任逐级落实下去。
二是立规矩。无规矩不成方圆,必须有一套能落实主体责任的文件,才能有效的落实安全责任。为了规范和明确信息化建设中各单位的工作范围和职责,学校必须建立一套与网络与信息安全管理制度,并通过这些制度对安全管理工作和职责进行划分。制度应明确网络与信息系统安全必须要贯穿学校的信息化建设始终,做到同步规划,同步建设和同步运行,应确定信息管理部门和各二级单位之间的具体职责以及必须开展的工作等。
三是变可视。为了引起各级领导和各单位对安全工作的重视,将安全工作可视化,让安全量化并走进每个人的生活,是一件非常重要的事情。如果网络与信息安全总是处于一种摸不到、看不着的状态,是很难真正将安全工作落实到位的,因为只有怕了才能真正动起来。为了实现可视化,学校可以引入安全监测设备,并利用这些设备产生的数据制作学校信息化安全简报,以量化的数据和图文并茂的形式将学校网络安全的状况、网络漏洞的危害和防范知识展现给各位领导和师生。通过这些数字可以让他们了解到真实的现状,并充分意识到面临的风险和责任。
四是建防护。学校要从技术方面入手做好整个校园环境的基础信息安全防护,这里主要包括建立全校网络防火墙、堡垒机、Web 应用防火墙、抗DDoS 攻击、数据库审计、远程管理审计、云防护、网站及信息系统监控平台、漏扫设备、网络防病毒软件等公共平台设施,确保有防护、有数据、有痕迹,为网络与信息安全工作提供必须的、完备的环境和条件保障。
五是定策略。确定防范策略是一个重要的环节,需要结合学校自身实际进行考量。其中最重要的策略之一就是推行白名单制度。因学校很多网络与信息服务属于科研或内部工作性质,通过白名单制度将这些内部系统限制在内网中使用,而仅仅将有限的公共服务对外网开放,可以在很大程度上减少风险和防护的工作量,增加安全系数。在历次的重要时期安全工作中,白名单制度起到了重要的作用。
六是做检查。在完善了外围防护的基础上,学校要建立安全检查机制,监督和帮助各单位管好、防好各自所负责的信息系统安全。学校主要是利用专业的漏洞检测设备工具,采用每月定期检测和平时检测相结合的安全检测机制,对所有的网站及应用系统进行安全检查。当检查完成后,生成该信息系统的专项检查报告,并提出相应的具体解决方案,以便系统管理员能够指导专业运维人员很快地处理各种安全威胁。另外,还应该不定期地引入渗透等措施开展安全检查。通过这些常态工作,可以有效地及时发现问题并加以处理。
七是促整改。只做检查不落实整改结果就不能形成安全工作闭环,就无法保证安全防护的效果,因此必须采取强有力的措施促使责任单位进行整改。学校需要根据正式出台的信息化制度严格落实相应的管理和监督职责,可以对出现高危问题的网站及信息系统进行先关停再整改的措施,同时通过“信安字”文件形式下发整改通知,要求各单位针对发现的问题进行整改,整改合格后方可恢复上线。
八是找帮手。单靠管理是不够的,还需要专业的技术支持。为了克服人员少和人员能力不足的状况,需要扩展渠道、找帮手,引入专业的技术人员支持,共同做好学校的安全防护。一方面,学校通过与安全公司进行合作,购买安全服务,引进一批专业的技术支持。另一方面,充分利用有能力的学生做安全方面的测试、攻击、渗透等工作,让他们能为学校的安全贡献出自己的力量。同时,也可以给学生出具工作证明,对他们的白帽子工作给予肯定。
九是推等保。等保工作是一个严密的信息化防护工作,真正落实到位以后会极大提升学校的网络与信息安全水平。学校需要落实《网络安全法》要求,对所有设施做好等保评测并取得通过资质。同时,也要将等保要求落实到今后新建系统的合同里,要求后续所有新建系统在上线之前必须完成等级备案及等保评测。
十是报预警。一味地防不是办法,也需要变被动为主动。学校需要和专业的安全公司开展合作,建设软件预警平台,对各种新发生的安全事件实施及时的全校预警,也需要充分开展大数据应用,对有风险的行为做预警,及时阻断各种网络安全风险,为师生提供增值的信息化服务。
通过以上十项举措,可以让学校初步构建系统性的网络安全防护体系,为学校信息化工作提供网络与信息安全保障。但由于信息技术在不断发展和突破,所以安全问题永远在路上,我们也需要不断地探索和完善工作办法,努力为学校的发展保驾护航。(责编:王左利)
(作者单位1为西北工业大学,2为解放军第四五一医院)
本文刊载于《中国教育网络》杂志2018年6月刊